1、局域网的计费系统研究与实现摘 要:网络计费是网络管理的重要组成部分,特别是对于象CERNET 这样的根据流量收费的网络来说,计费系统是校园网络正常运行的保证。本文在分析校园网计费需求、常用网络计费方式的基础上,提出了一种通用的校园网计费系统解决方案,并且较为详细地描述了实现该系统的主要技术。关键词:网络计费;网关;RADIUSThe Research and Design of Campus Network Accounting System【Abstract】Network accounting is an important part of network management. Espe
2、cially in CERNET that accounts with IP traffic, network accounting is the guarantee of campus network running. This paper first analyzes the requirement and general way of campus network accounting, then provides a universal resolution of campus network accounting system, and describes the technolog
3、y of the system in detail.【Key words 】Network accounting; t gateway; RADIUS1 前言近年来,以 Internet 为代表的信息新技术迅速席卷全球,在计算、通讯、商务等领域都引发了引人注目的变革。特别是最近,中国教育科研网(CERNET )的建设力度明显加大,各高校和中学都将陆续通过 CERNET 接入 Internet。由于众所周知的原因,网络的使用不能是免费的,服务提供者总是要采取相应的手段收取费用。如 CERNET 的现行收费政策是按流量计费,即按用户实际传输的数据流量进行计费。同时,为了鼓励国内交流和用户输出信息,
4、只对国际进入流量计费。另外,对于绝大多数学校来说,除了 CERNET 分摊的流量费用之外,还需要支付DDN 专线费用、网络系统运行维护费用等。因此,采用合理的计费系统是校园网络正常运行的保证。根据提供的服务不同,校园网中有不同的计费策略,一般来说主要有对用户和 IP 的流量计费、对邮件帐号的计费和对拨号用户的计费,基于这种计费政策,校园网计费系统需要实现如下功能: 实现对校园网按 IP 地址和按用户的流量计费:对于服务器等主机按 IP 地址对网络流量计费,对于 PC 等多用户使用的机器按用户对网络流量计费,并能防止 IP 地址盗用,保证计费的准确性。 实现对拨入用户的时间计费与流量计费:拨号用
5、户除能够按拨入时间计费外,还能够按照用户造成的网络流量计费。 实现对电子邮件按接收邮件数量与长度计费:对于电子邮件用户,按用户接收的邮件的数量与长度计费,另外,还可以按用户的邮件占用硬盘空间的数量与时间计费。 实现某种程度上的管理控制功能:能够禁止某些地址的访问或者对某些地址的访问,能够根据用户的缴费情况控制其使用。 保证系统的完整性和安全性:能够在一定程度上防止用户伪造或盗用他人的帐号和流量,伪造篡改费用数据等。2 常用网络计费方法分析CERNET 从开始建设到现在已经有 5 年多时间,这期间各高校根据自己的实际情况开发了不同的计费系统,主要概括起来有如下几种:1) 1) 基于路由器的流量计
6、费方式:这是一种曾经广为使用的计费方式,它在早期的计费系统中占统治地位。这种计费方式使用了多数路由器能够按照源 IP 地址和目的 IP 地址对来记录流量的特性,这些记录暂时存放在路由器内存中;计费服务器使用SNMP 协议命令定时从路由器获取流量记录,通过分析这些记录得到收费范围内 IP 的流量统计数据 2。这种方式实现的计费系统其特点是实现简单,一般的路由器都可以做到,并且不用增加过多的硬件。但是,它也有很明显的缺陷:只能对 IP 地址进行流量计费,不支持对用户的流量计费;不能防止 IP 地址盗用,虽然后来采用 IP-MAC 地址静态匹配技术来防止 IP 地址盗用,但其防范 IP 地址盗用的功
7、能十分有限;在端口扫描程序出现后,由于路由器流量记录溢出,计费准确性大为降低;对路由器的性能有比较大的影响,特别是在增加了防止 IP 地址盗用的功能后。2) 2) 基于 snoop 的流量计费:snoop 是一个侦听程序,它能够侦听到网卡上的所有数据包并记录下来。这样的网络计费方式有很多变种,如清华大学计算中心开发的开放实验室网络计费系统3,它解决了路由器计费对路由器性能影响和计费不准确的问题,但是其它问题仍然存在。3) 3) 基于 proxy 的流量计费:在高校中网络用户有一个很大的特点,就是一台机器可能被不同的用户使用,因此,只对 IP 地址进行计费还不能解决问题。基于 proxy 的流量
8、计费正好解决了对用户计费的问题:用户只有通过授权认证后才能使用代理,代理记录下用户访问的每一个地方,然后根据记录的日志计费。这种方式计费几乎解决了路由器计费的所有问题,但是它同时又带来了一些新的严重问题:代理方式对于用户不透明,用户需要配置自己的客户端软件;代理不能支持所有的应用,特别是一些新开发的应用;对于大型网络来说,用户访问网络时在代理服务器上出现瓶颈。4) 4) 基于邮件日志的邮件计费:由于电子邮件系统是通过邮件服务器对外通信,因此前面所说的流量计费无法对邮件用户计费。现在对邮件的计费一般采用的方式是通过分析邮件系统的日志文件来实现,这样的计费方式比较简单,但它是被动的,没有控制功能,
9、并且对于大批量的用户缺乏有效的用户管理手段 4。5) 5) 拨入计费:由于拨入服务 IP 地址是动态分配的,基于路由器的流量计费方式就难以使用了。因此,ISP 一般只按连网时间收费,而对于 CERNET 这种不能只按时间计费的网络(因为流量费用远比时间费用高),很多高校要么采用 proxy 计费、要么干脆不允许出国、或者采用允许出国和不允许出国两组拨入号码的方式。很显然,这样的方式对于用户而言使用起来很不方便。上面的计费方式及相关的计费系统在很长一段时间在各高校起了很好的作用,为 CERNET 的发展作了重要的贡献。但是,不可否认,这些计费方式都存在着这样那样的问题,在进一步提高网络服务质量的
10、今天,不完善的网络计费系统开始阻碍网络的发展。3 校园网通用计费系统设计针对校园网计费的需求和当前网络计费的实际情况,清华大学计算机与信息管理中心开发了一套校园网通用计费系统,该系统可以实现当前校园网计费所需的全部功能,并且采用统一的身份认证策略,用户使用起来非常方便。校园网通用计费系统主要由流量计费服务器、计费邮件服务器、拨号计费服务器和数据库服务器四部分组成,其网络结构如图 1 所示。3.1 网络计费服务器实现校园网计费的关键在于流量计费服务器,该服务器串接在内部子网和外部网络之间,是一个连接内部网络和外部网络的透明网关。它主要实现如下功能: ARP 转发:完成子网内 ARP 数据包的双向
11、转发,同时检查 IP-MAC 地址的匹配情况,只有 IP-MAC 地址对合法注册的ARP 包才能通过。 IP 包转发:完成 IP 包的双向转发,并对非法访问的 IP 包进行过滤。只有经过授权的用户的 IP 包才能通过,并记录该用户的网络流量。 用户注册:提供用户注册服务接口,为 IP 包转发提供过滤依据。只有授权用户才能注册成功,并通过流量计费服务器和外部网络通信。 流量计费:对注册用户的 IP 地址进行流量统计,在用户注销时将流量费用记录到用户帐号上。3.2 计费邮件服务器计费邮件服务器是对传统的邮件服务器软件进行改造,加入计费模块和控制模块,使其在完成收信、发信工作的同时,还提供如下功能:
12、 邮件流量计费:记录用户接收的国内邮件数量、长度,国外邮件数量、长度,并按照管理员设定的费率计费。 邮件帐号管理:邮件帐号用户不必是 UNIX 用户,可以用Web 或数据库客户程序方式建立用户。 信源黑名单:可以设置信源黑名单,从信源黑名单中地址发送的邮件被拒收。 用户黑名单:可以设置用户黑名单,对于黑名单上的用户(欠费或不受欢迎)拒绝其取信。3.3 拨入计费服务器拨入计费服务器采用工业标准 radius 服务器软件,并对其进行改造,使其能够完成如下功能: 提供 radius 授权验证:使用 radius 服务器来实现对拨入用户的授权验证,只有通过授权验证的用户才能使用拨入服务。 提供用户使用
13、的时间记录:用户拨入时记录其拨入时间,用户断开时,记录其断开时间,并计算用户总占用线路的时间。 给流量计费服务器发送用户拨入断开通知:在用户拨入时通知流量计费服务器该 IP 已被拨入用户使用,流量计费服务器允许该 IP 上信息出入,并记录该 IP 上的流量;在用户断开时通知流量计费服务器用户已释放该 IP,流量计费服务器将该 IP 上的流量记录到相应用户帐上。3.4 数据库服务器通过数据库服务器实现对用户和主机信息进行统一的、安全可靠的管理。 用户管理:整个系统采用统一的用户管理,即各子系统中用户可以使用统一的用户名及密码。 主机管理:可以设定子网内主机的类型,对不同的主机施加不同的管理。4
14、关键技术在校园网通用计费系统的实现中,主要采用了透明网关技术用来控制内部网络用户对于外部网络的访问、采用邮件管理与控制技术来实现对用户获取邮件的控制与计费、采用 Radius 服务器功能扩充技术来实现对于拨入用户的时间与流量计费。4.1 透明网关技术流量计费服务器在实现上设计成一个透明网关,它连接内部网络和外部网络,但是在 IP 层以上它对于用户和网络设备都是透明的,其系统逻辑功能可以采用图 2 来示意。图 2 流量计费服务器系统逻辑功能示意图内部主机发往外部网络的数据包将由 NIC0 接收,而外部网络发往内部主机的数据包将由 NIC1 接收,但 NIC0 和 NIC1 并非真正的传输目标,因
15、此必须对接收到的数据包进行进一步的转发才能维持正常的通讯。该功能分别由绑定在 NIC0 和 NIC1 上的两个IP_FORWARD 线程完成。两个线程首先从自己绑定的网卡上获取数据包,然后将通过规则检查的数据包从另一个网卡向真正的目标主机转发。具体的规则包括计费和安全两部分内容。转发时检查 IP 包头信息中的 IP-MAC 地址对与预先设置的 IP-MAC 对是否匹配,因而可以阻断 IP-MAC 不匹配的主机与外界的通讯。在此基础上, IP地址还与用户关联。用户通过身份认证后才能使用需要缴费的服务。这种实现方法可以很好地防止 IP 地址盗用,并将用户使用的流量信息准确地记录到用户帐户上。 5
16、4.2 邮件管理与控制计费邮件服务器是对通用邮件服务器的修改和扩充,它使用邮件服务器程序 Sendmail 和邮局程序 popper,但使用新的用户管理模块管理用户、使用新的邮箱结构以改进系统性能、并增加了计费模块实现对于邮件的计费。计费邮件服务器的实现模型如图 3 所示。图 3 计费邮件服务器实现模型计费邮件系统主要包括两个模块,邮件处理模块和数据库计费模块。邮件处理模块按照新的用户表进行常规的邮件收发和计费日志记录,但邮件的存放采用了层次结构;数据库计费模块读计费日志、处理帐目、并更新用户表。两个模块通过共享用户表 mail_usr_tab、邮件信息表 mailmsgtab 和计费日志实现
17、相互通信。在实现上,主要修改 mail.local,插入计费模块,以获取来信的源地址,识别邮件的长度及是否国外邮件,并将这些信息写到一个中间表 mailmsgtab 里;修改 popper,插入计费模块,在用户使用popper 取邮件时,将该邮件的信息从中间表 mailmsgtab 中取出来,连同用户的 IP 及取信时间一同写入日志文件,并将 mailmsgtab 中相应条目清空,以避免对同一封邮件的重复计费。这样,既获得了邮件的源地址,又获得了用户的本地 IP。对于不受欢迎站点的来信,可以在 mail.local 中将其源地址识别出来之后,退回发送者或者丢弃。对于欠费用户或不受欢迎的用户,可
18、以在用户通过 popper 获取邮件时拒绝用户的请求。通过对 Sendmail 和 Popper 的修改和综合处理,实现了对于用户访问邮件的计费、管理和控制。4.3 RADIUS 功能扩充拨入计费服务器采用的是最常用的 RADIUS 服务器,并对标准的 RADIUS 服务器作了相应的扩充和修改,增加了新的用户授权和认证模块,并增加了新的计费模块,在用户拨入和断开时记录当前时间并与流量计费服务器进行通讯,同步记录该用户造成的流量。RADIUS 服务器包括认证(Authenticate)、授权(Authorize)和计费(Accounting)三部分。扩充后的 RADIUS 服务器如图 4 所示。
19、图 4 RADIUS 服务器实现模型用户的认证和授权,就是根据用户提供的用户名和口令,确认用户的身份是否合法,以及确认该用户是否有访问本拨号系统的权限。新的用户认证和授权模块利用原有的 RADIUS 用户认证和授权接口,获取用户提供的用户名和口令,根据数据库处理模块生成的用户表dial_user_tab,先比较用户名和密码,确认用户的身份是否合法,再判断用户是否有拨号的权限,若是则返回成功,否则返回失败。这样就可以实现对拨号用户的管理和控制。新的用户计费模块是对原有的 RADIUS 服务器的扩充。当用户通过了认证和授权后,访问服务器(NAS)就接受了用户的接入,同时给 RADIUS 服务器发送
20、计费开始(Accounting Start)的信息。计费模块获取此信息后,记录该用户接入的时间和 IP 地址,并调用通信函数在流量计费服务器上注册该用户和 IP 地址,于是用户可以正常联网。当用户主动或以外断开了拨号连接时,访问服务器就会给 RADIUS 服务器发送计费结束(Accounting Stop)信息,于是计费模块记录该用户的会话结束时间,计算在线时间;并调用通信函数从计费服务器获取该用户的 IP 流量、注销该用户对该 IP 的使用。这样就实现了对用户在线时间以及所造成的流量的计费。五、结束语校园网通用计费系统已在大学计算机与信息管理中心实现,该系统采用统一的用户管理实现了校园网最常见的网络服务用户管理与计费,极大地改善了网络服务的质量。该系统可以在 Solaris 或Linux 操作系统下运行,几个不同的服务器在物理上可以使用多台服务器也可以共用一台服务器,具有很好的实用性。现在,该系统已经在全国十几所高校使用,取得了很好的社会效益和经济效益。参考文献1 1 蒋东兴、白冰. 校园网通用计费系统. 微电脑世界. 1999 年第 6 期2 2 安常青、岑贤道、李学农等. 基于 SNMP 的网络流量管理系统. 计算机工程与应用. 1997.5
